Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Главный вопрос, который надо задать при выборе решения по мобильной безопасности

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:
Самым важным вопросом, который следует задать себе перед выбором решения по мобильной безопасности является: "Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". И уже от ответа на него планировать и реализовывать систему защиты.

1. Если запрещаем
Если мы отвечаем "Запрещено", то нам следует сосредоточить усилия именно на том, чтобы конфиденциальная информация не появилась на мобильных устройствах сотрудников. Для этого необходимо:
  1. Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
  2. Обеспечить контроль и блокирование передачи конфиденциальной информации на устройства. По сути, это будет что-то типа контроля утечки информации за счет:
  • передачи файлов по электронной почте; 
  • выкладыванию файлов в сети Интернет;
  • передачи данных напрямую на устройство при подключении;
  • созданию устройством дополнительных сетей (например wifi) и передача данных по ним.
  • Запретить и контролировать отсутствие на компьютерах запрещенного/не разрешенного программного обеспечения (различные "синхронизаторы" (iTunes, Activesync и пр.), облачные хранилища (iCloud, DropBox, GoogleDrive, Яндекс Диск, SkyDrive и пр.), средства удаленного доступа (TeamViewer, PC Remote Control и пр.), и другие, с помощью которых можно передать на мобильные устройства конфиденциальную информацию).
  • Пересмотреть подход к предоставлению удаленного доступа к корпоративным ресурсам и сервисам.
  • Как вы понимаете, малореалистичный вариант запретить проносить мобильные устройства на работу и контролировать этот запрет, мы не рассматриваем. А риск фото/видео/аудиозаписи рассматриваем отдельно и скорее принимаем.

    2. Если не запрещаем
    Обратите внимание, что я употребляю термин "Не запрещено", а не "Разрешено". Это связано с тем, что во многих компаниях на использование мобильных устройств сотрудниками смотрят "сквозь пальцы", в явном виде ничего не запрещая, но и не разрешая. При этом часто сотрудники имеют доступ к корпоративной электронной почте, календарю и списку контактов, а также могут обрабатывать конфиденциальные документы на устройстве. Оценка рисков такой обработки обычно не проводится.
    Ну вот, если мы отвечаем "Не запрещено", то нам следует сосредоточить усилия на управлении рисками и инцидентами.

    Первым делом необходимо понять область (scope), для этого следует четко определить:
    • Перечень информации и ИТ-сервисов, которые могут быть доступны сотрудникам.
    • Перечень устройств, которые могут использовать сотрудники. Тут важно понимать, это будут корпоративные устройства или еще и личные (см.BYOD), а также перечень операционных систем (это нам необходимо для понимания рисков и выбора конечного решения).
    После сбора первичной информации следует оценить возможные риски и еще раз ответить на вопрос "А все-таки, следует ли разрешить ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Если и сейчас ответ утвердительный, то необходимо:
    1. Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
    2. Обучить (повысить осведомленность) пользователей базовым принципам безопасности мобильных устройств (например, "не оставлять без присмотра", "использовать пароли", "установить ПО для поиска/блокирования устройства и стирания информации", "решить с антивирусной защитой" и пр.).
    3. C учетом оценки рисков выбрать и внедрить дополнительные средства защиты и управления мобильными устройствами. 

    Обратите внимание, что пока вы не пройдете все шаги, то выбирать дополнительные средства защиты не особо целесообразно...



    Дополнительно можете посмотреть:

    Оцените материал:
    Total votes: 254
     
    Комментарии в Facebook
     

    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.